Daten-Übermittlung in USA ist illegal
Redaktion 07.10.2015 - 13:53 Uhr
Der Konflikt köchelte, seit Edward Snowden das atemberaubende Ausmaß der Überwachung durch US-Geheimdienste enthüllte. Jetzt schiebt ein Urteil der einfachen Daten-Übermittlung in die USA einen Riegel vor. Doch die Folgen könnten viel weiter gehen, warnen Experten. Edward Snowden, der seit vergangener Woche auf Twitter ist, schrieb unter anderem: "Danke, Europa!"
Es dauerte über zwei Jahre - doch jetzt treffen die Schockwellen des NSA-Skandals das bisherige Fundament für den Datenfluss von Europa in die USA. Angesichts der massiven Überwachung würden dort die Rechte der Europäer verletzt, die Blanko-Erlaubnis der sogenannten Safe-Harbor-Vereinbarung sei ungültig, entschied der Europäische Gerichtshof.
Tausende Unternehmen bleiben damit im Zustand der Unsicherheit zurück. Verstoßen sie ab sofort gegen das Gesetz, wenn sie Daten ihrer Nutzer auf Servern in den USA speichern, ohne dafür eine zusätzliche Absicherung, etwa eine Einwilligungserklärung der Betroffenen, zu haben? Können sie dafür belangt werden? Werden ihre europäischen Kunden jetzt nach dem Vorbild des Facebook-Kritikers Max Schrems, der den Stein erst ins Rollen brachte, scharenweise vor Gericht ziehen und einen Stopp der Daten-Transfers fordern?
«Der Transfer von personenbezogenen Daten von der Europäischen Union in die USA unter dem "Safe-Harbor"-Regime ist ab sofort illegal», erklärt Anwalt Stefan Schuppert von der Kanzlei Hogan Lovells. «Es sei denn, die zuständigen nationalen Datenschutzbehörden stimmen dem Datentransfer nach einer gründlichen Prüfung ausdrücklich zu oder der Datenaustausch fällt unter eine gesetzliche Ausnahme.»
Nicht nur die Daten privater Nutzer sind betroffen. Was ist mit Profi-Diensten wie Dreamforce, Slack, Google Apps oder Office 365, mit denen deutsche Firmen Daten von Kunden und Mitarbeitern in den USA speichern? Ein hohes Problembewusstsein gab es vielleicht noch bei Ärzten oder Rechtsanwaltskanzleien. Beim Rest herrschte bislang eher das Vertrauen vor, dass das rechtlich schon alles okay sei.
Wenn man das Urteil eng sieht, wurde immerhin nur «Safe Harbor» gekippt, bei dem die Kommission im fernen Jahr 2000 davon ausging, dass der Datenschutz in den USA letztlich den Anforderungen des europäischen Rechts genügt. Den Unternehmen bleiben noch verschiedene Wege für eine legale Datenübermittlung in die USA.
Den Nutzern können zum Beispiel entsprechende Einwilligungserklärungen vorgelegt werden, sie können zu EU-Standardvertragsklauseln greifen oder im Konzern verbindliche Regelungen festlegen. Ausgerechnet Facebook, das Online-Netzwerk, um das der ganze Streit entbrannte, sieht sich auf der sicheren Seite, weil man Verträge für die Übermittlung der Daten der Tochterfirma in Irland habe. Für die Großen dürfte es keine Problem sein, eine rechtliche Basis zu schaffen, so nicht schon geschehen.
Aber reichen die Absicherungen am Ende wirklich angesichts des harschen Urteils der Richter zum Stand der Dinge in Amerika? «Wenn man sieht, mit welchem Nachdruck der EuGH sagt, dass der Datenschutz in den USA nicht unseren Bestimmungen entspricht - dann fragt man sich natürlich, wie kann ein Unternehmen dort garantieren, dass ein angemessenes Datenschutz-Niveau besteht», sagt Anwalt Tobias Neufeld von der Kanzlei Allen & Overy. Zwar habe sich tatsächlich vor allem im Mittelstand der Großteil der Unternehmen auf «Safe Harbor» verlassen. Aber auch die großen Unternehmen könnten sich «nicht ins Federbett fallen lassen». Allen & Overy sieht Bußgelder und Schadenersatz-Ansprüche der Betroffenen als mögliche Auswirkungen.
Das Urteil ist der vorläufige Höhepunkt transatlantischer Spannungen, die Edward Snowden mit seinen Enthüllungen seit Juni 2013 ausgelöst hatte. Die Europäer waren erschüttert über das Ausmaß der flächendeckenden Überwachung durch die NSA und ihre Partnerdienste. Auch die EU-Kommission geriet in ihr Visier. Der PRISM-Programm zum Abgriff von Daten bei Online-Diensten wurde zwar dementiert, ist aber nicht aus dem Köpfen wegzukriegen. Und in Deutschland sorgten Berichte über die Überwachung eines Handys von Bundeskanzlerin Angela Merkel zusätzlich für Aufruhr.
Die Europäer reagierten, schon seit rund zwei Jahren wurde über eine Neuauflage von «Safe Harbor» verhandelt. Schließlich stammt «Safe Harbor» noch aus der Zeit vor den Terroranschlägen vom 11. September und der nachfolgenden Zuspitzung der Überwachungsmaßnahmen. Es soll bereits Zusicherungen geben, dass nicht alle Daten von Europäern anhaltslos für Behörden offenstehen und dass die Nutzer auch ihre Rechte in den USA geltend machen könnten. Doch die Gespräche zogen sich hin - jetzt schafft der EuGH massiven Zeitdruck.
"Das Urteil hat eine politische Komponente und soll die Diskussion über "Safe Harbor" anheizen", sagt Anwalt Neufeld. "Ein Stück weit wird dieses politische Tauziehen um NSA und PRISM jetzt auf dem Rücken der Unternehmen ausgetragen."
Europe's high courtjust struckdown a majorlawroutinelyabusedforsurveillance. Weareall saferasa result. pic.twitter.com/mR4hHTrTok
— Edward Snowden(@Snowden) 6. Oktober 2015
Congratulations, @MaxSchrems. You've changedtheworldforthebetter. http://t.co/HmGpRq5Dgt pic.twitter.com/rTLYHhvmoY
— Edward Snowden(@Snowden) 6. Oktober 2015
This isthesecondtime in asmanyyearstheworldhasreliedupon #CJEU todefenddigital rights. ThankyouEurope. #DataRetentionDirective
— Edward Snowden(@Snowden) 6. Oktober 2015
#SafeHarbor was abusedunderUS lawdue to#FAA702, whichalloweda US officialtoauthorizespiestomonitorpeoplewithoutcourtorders.
— Edward Snowden(@Snowden) 6. Oktober 2015
Vergleiche nach dem Muster «David gegen Goliath» lehnt Max Schrems ab. Zu viel Drama, Personalisierung und Rampenlicht, findet er. Der junge Österreicher gibt sich eher als stiller Kämpfer, der sich nicht beirren lässt. Mit Erfolg: Am Dienstag hat der Datenschutzaktivist am Europäischen Gerichtshof ein maßgebliches Urteil erwirkt. Das bisherige «Safe-Harbor»-Datenabkommen mit den USA wurde gekippt - mit weitreichenden Folgen für Internet-Riesen wie Facebook, Google und Co und auch tausende kleinere Unternehmen.
Ausgelöst wurde das Verfahren durch Schrems' Streit mit Facebook. Der Österreicher hatte das weltgrößte Online-Netzwerk verklagt, weil seiner Ansicht nach seine Daten in den USA nicht vor staatlicher Überwachung geschützt sind. Schon 2011 kämpfte er beharrlich um sein Auskunftsrecht und ließ sich von Facebook alle Daten zusenden lassen, die über ihn gesammelt worden waren. Im August 2014 reichte er dann mit seinen Unterstützern eine Sammelklage gegen Facebook ein.
Im Datenschutz fand Schrems ein frühes Lebensthema. Bereits vor etwa zehn Jahren, als Austauschschüler im US-Bundesstaat Florida waren dem damals 17-Jährigen die Kameras in den Klassenzimmer unangenehm aufgefallen. Wenige Jahre später kam er als Jura-Student ins kalifornische Silicon Valley und hörte den Vortrag eines Vertreters von Facebook. Dessen Aussage, das Unternehmen ignoriere europäische Grundrechte, habe ihn dazu veranlasst, sich für diese Rechte einzusetzen, heißt es bei der Theodor-Heuss-Stiftung.
Ihm gehe es um die Sache - und er sei auch kein Facebook-Hasser, sagt Schrems. Aber er habe den Vorteil, als Hobby-Programmierer auch technisch ein wenig hinter die Kulissen des sozialen Netzwerks blicken zu können. Sein Verein «Europe-versus-Facebook» fand bereits zahlreiche Unterstützer, bislang kamen mehr als 65 000 Euro an Spenden zusammen. Gelder, die nicht gebraucht würden, würden erstattet, heißt es.
Für seinen Einsatz für «Transparenz, Datenschutz und Privatsphäre» wurde Schrems mit der Theodor-Heuss-Medallie geehrt. Aktuell sitzt der Jurist an seiner Doktorarbeit. Es geht um Datenschutz.
Mehr dazu:
dpa